Métricas de Seguridad de la Información

metseginfo - Carlos Ormella Meyer

Descripción del Curso

Descripción

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.
La nueva norma ISO 27004 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se mide la eficiencia del sistema de gestión y la efectividad de las medidas de seguridad que se implementen, para reducir no sólo los riesgos técnicos de IT, sino también especialmente los riesgos operacionales, estableciendo todo un marco que comparte la visión corporativa de negocios, especialmente mediante el uso del Balanced Scorecard.

La incorporación de las Oportunidades como riesgos positivos y los nuevos escenarios de Ciberseguridad, BYOD, Big Data, e Internet de las Cosas (IoT), también plantean estrategias específicas para las métricas correspondientes.

COMPONENTES:
• 4 Módulos de Estudio con un total de 30 Temas o Unidades de Estudio
• 30 Preguntas de Auto-evaluación
• 30 Tareas de Comprensión y Colaboración
• 5 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte, incluyendo 5 normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• La ISO 27004 para las métricas del SGSI de la ISO 27001 y de la efectividad de los controles implementados.
• Las diferentes formas de verificar el cumplimiento de los objetivos de control y controles implementados de la ISO 27001.
• El mapeado de Objetivos de Control y Controles de seguridad con los Objetivos Operacionales e Iniciativas del Balanced Scorecard.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Tener un sólido entendimiento de los diferentes métodos para la determinación y uso de métricas de controles.
• Poder clasificar las verificaciones de eficiencia y efectividad de las medidas de seguridad en el contexto del necesario alineamiento de los objetivos operacionales de seguridad con los objetivos estratégicos a nivel corporativo.
• Comprender la importancia de las oportunidades como riesgos positivos y cómo pueden mensurarse.

¿QUIÉNES DEBEN PARTICIPAR?:

• Administradores de seguridad de la información que deben administrar la gestión de riesgos, mensurar las medidas de seguridad, e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.
• Auditores de seguridad y de sistemas, auditores internos y externos.

TEMARIO DEL MATERIAL DE ESTUDIO
Semana 1 – MÓDULO DE ESTUDIO 1: Conceptos básicos para la aplicación de Métricas – 11 Unidades de Estudio
• El aseguramiento de la Información y el Corporate Governance
• Seguridad de la Información y Seguridad Informática
• Normas de Seguridad de la Información
• Gobierno de Seguridad de la Información
• Formas de análisis de riesgos
• Salvaguardas y Riesgo Residual
• Norma ISO 27005 de gestión de riesgos de seguridad
• El aporte de la norma BS 7799-3
• Norma ISO 31000 de gestión de riesgos corporativos
• El Factor Gente
• Evaluación de los programas de concientización

Semana 2 – MÓDULO DE ESTUDIO 2: Aplicaciones de las Métricas de Seguridad – 7 Unidades de Estudio
• Norma de Métricas ISO 27004
• Uso de las métricas en seguridad de la información
• Métricas de controles, metodologías NIST y GQM
• Métricas de objetivos de control
• Madurez de las métricas, modelos SSE-CMM y NIST
• Riesgos positivos. Oportunidades, identificación y métricas
• Nuevos escenarios: Ciberseguridad, BYOD, Big Data e IoT

Semana 3 – MÓDULO DE ESTUDIO 3: Desempeño de las medidas de seguridad y Balanced Scorecard (BSC)– 6 Unidades de Estudio
• Gestión del desempeño de las medidas de seguridad
• Breve Introducción a CSF y KPI
• Presentación del Balanced ScoreCard (BSC)
• Mapa Estratégico del BSC
• Perspectivas del BSC
• Objetivos estratégicos del BSC

Semana 4 – MÓDULO DE ESTUDIO 4: Tablero de Control del BSC y Seguridad de la Información – 6 Unidades de Estudio
• Tablero de Control o Comando
• Características de los Indicadores del BSC
• Metas e Iniciativas del BSC
• Gestión y Reportes del BSC
• Objetivos Operacionales de Seguridad, Gestión y BSC
• KRI, Indicadores Claves de Riesgos

TALLER DE PRÁCTICA
• El Taller consiste en realizar 5 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

DOCUMENTOS SOBRE LOS QUE SE REALIZAN LOS TRABAJOS PRACTICOS
1 - Métricas de la efectividad de la concientización
2 - Métricas de Controles ISO 27002
3 - Mapa estratégico y relaciones Causa-Efecto del BSC
4 - Indicadores y Medidas del BSC en función de Métricas
5 - Objetivos de Control y Controles de la ISO 27002 a partir de Objetivos Operacionales de Seguridad

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Audio de Presentación del Curso y del Módulo de Estudio 1
• Audio de Presentación del Módulo de Estudio 2
• Audio de Presentación del Módulo de Estudio 3
• Audio de Presentación del Módulo de Estudio 4
• Audio de Presentación del Módulo de Estudio 5
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014 en Inglés
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013 en Inglés
• ISO 27002:2013 en Inglés
• ISO 27005 en Inglés
• ISO 31000 en Inglés
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• Controles NIST (De la publicación 800-53r1)
• Listado y enlaces de publicaciones de la serie 800 del NIST
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Hacia un Marco de Medición – GQM (en inglés)
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información


Calificaciones y Objetivos


Administrador(es) del curso metseginfo : Carlos Ormella Meyer
Administrador de Plataforma de Estudio Virtual : Ivan Sawicki
Impulsado por Claroline © 2001 - 2011